Bulletin d'alerte Debian

DSA-2305-1 vsftpd -- Déni de service

Date du rapport :
19 septembre 2011
Paquets concernés :
vsftpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 622741, Bogue 629373.
Dans le dictionnaire CVE du Mitre : CVE-2011-0762, CVE-2011-2189.
Plus de précisions :

Deux problèmes de sécurité concernant vsftpd, un serveur FTP léger et efficace écrit pour la sécurité, ont été découverts.

  • CVE-2011-2189

    Les noyaux Linux antérieurs à la version 2.6.35 s'avèrent considérablement plus lents à libérer qu'à créer des espaces de noms réseau. Par conséquent, puisque vsftpd utilise cette fonctionnalité pour améliorer la sécurité en fournissant un isolement du réseau pour les connexions, des conditions de déni de service à cause d'un excès d'allocations mémoire par le noyau sont réalisables. Techniquement, ce n'est pas un défaut de vsftpd, mais un problème de noyau. Cependant, cette fonctionnalité a des cas d'utilisation légitimes et le rétroportage du correctif de noyau spécifique est trop intrusif. De plus, un attaquant local a besoin des droits CAP_SYS_ADMIN pour abuser de cette fonctionnalité. Par conséquent, pour corriger ce problème, une vérification de la version du noyau a été ajoutée à vsftpd afin de désactiver cette fonctionnalité pour les noyaux antérieurs à 2.6.35.

  • CVE-2011-0762

    Maksymilian Arciemowicz a découvert que vsftpd ne traite pas correctement certaines expressions de joker dans les commandes STAT. Cela permet à un attaquant distant authentifié de réaliser des attaques par déni de service (excès d'utilisation de microprocesseur et épuisement d'espace de processus) à l'aide de commandes STAT contrefaites.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.0.7-1+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.3.2-3+squeeze2. Veuillez remarquer que CVE-2011-2189 ne concerne pas la version Lenny.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.3.4-1.

Nous vous recommandons de mettre à jour vos paquets vsftpd.